何時(shí)使用 Azure Web 應(yīng)用程序防火墻

了解 Azure Web 應(yīng)用程序防火墻的涵義及其工作原理。 現(xiàn)在你需要一些標(biāo)準(zhǔn)來(lái)幫助你評(píng)估 Azure Web 應(yīng)用程序防火墻是否適合你的公司。 為了幫助你做出決定，讓我們考慮以下場(chǎng)景：

• 你具有包含敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用。

• 你具有需要用戶登錄的 Web 應(yīng)用。

• Web 應(yīng)用開(kāi)發(fā)人員缺乏安全專業(yè)知識(shí)。

• Web 應(yīng)用開(kāi)發(fā)人員具有其他優(yōu)先級(jí)。

• 你的 Web 應(yīng)用開(kāi)發(fā)預(yù)算有限。

• 你的 Web 應(yīng)用開(kāi)發(fā)時(shí)間有限。

• 必須快速生成和部署 Web 應(yīng)用。

• Web 應(yīng)用發(fā)布將非常引人注目。

作為 Azure Web 應(yīng)用程序防火墻評(píng)估的一部分，你知道 Contoso 適用于其中幾種場(chǎng)景。 閱讀相應(yīng)章節(jié)了解更多詳細(xì)信息。

你具有包含敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用

有些 Web 攻擊者的動(dòng)機(jī)只是為了入侵系統(tǒng)。 然而，大多數(shù)惡意黑客都會(huì)利用注入、協(xié)議攻擊和類似的攻擊并希望有所回報(bào)。 回報(bào)可能是以下任何一項(xiàng)：

• 客戶信用卡號(hào)

• 敏感的個(gè)人信息，例如駕照號(hào)碼或護(hù)照號(hào)碼

• 專有或機(jī)密公司數(shù)據(jù)

攻擊者可能會(huì)直接使用此數(shù)據(jù)。 例如，用戶可以用盜來(lái)的信用卡號(hào)購(gòu)買物品。 但更有可能的是，攻擊者會(huì)在犯罪市場(chǎng)上出售數(shù)據(jù)，或持有數(shù)據(jù)以換取贖金。

如果你的公司運(yùn)行一個(gè)或多個(gè)存儲(chǔ)敏感或?qū)Ｓ袛?shù)據(jù)的 Web 應(yīng)用，Azure Web 應(yīng)用程序防火墻可以保護(hù)這些數(shù)據(jù)免受入侵和外泄嘗試。

你具有需要用戶登錄的 Web 應(yīng)用

Web 應(yīng)用攻擊者通常試圖獲取帳戶用戶名和密碼。 擁有用戶帳戶憑據(jù)對(duì)攻擊者有以下好處：

• 攻擊者可以作為授權(quán)用戶訪問(wèn)應(yīng)用。

• 攻擊者可能能夠運(yùn)行具有更高權(quán)限的腳本或命令。

• 攻擊者可能能夠訪問(wèn)網(wǎng)絡(luò)的其他部分。

• 攻擊者可以使用帳戶的憑據(jù)登錄到其他站點(diǎn)和服務(wù)。

你的企業(yè)是否使用需要用戶登錄的 Web 應(yīng)用？ Azure Web 應(yīng)用程序防火墻可以檢測(cè)到試圖顯示或竊取帳戶憑據(jù)的漏洞，如 SQL 注入和本地文件包含。

 重要

請(qǐng)記住，Azure Web 應(yīng)用程序防火墻只是多管齊下的網(wǎng)絡(luò)安全策略的一個(gè)方面。 對(duì)于登錄數(shù)據(jù)，該策略可能還包括嚴(yán)格的密碼要求以及以加密形式存儲(chǔ)密碼。

Web 應(yīng)用開(kāi)發(fā)人員缺乏安全專業(yè)知識(shí)

針對(duì)各種潛在的 Web 應(yīng)用漏洞進(jìn)行編碼需要大量的專業(yè)知識(shí)。 這些專業(yè)知識(shí)包括對(duì)以下概念的詳細(xì)了解：

• HTTP/HTTPS 請(qǐng)求和響應(yīng)的一般結(jié)構(gòu)

• 特定的 HTTP/HTTPS 請(qǐng)求類型（例如 GET、POST 和 PUT）

• URL 和 UTF 編碼

• 用戶代理、查詢字符串和其他變量

• 多個(gè)服務(wù)器操作系統(tǒng)的命令、路徑、shell 和類似數(shù)據(jù)

• 前端 Web 技術(shù)（例如 HTML、CSS 和 JavaScript）

• 服務(wù)器端 Web 技術(shù)（例如 SQL、PHP 和用戶會(huì)話）

如果貴公司的 Web 開(kāi)發(fā)團(tuán)隊(duì)缺乏這些方面的知識(shí)怎么辦？ 那么 Web 應(yīng)用就容易受到多重攻擊。 相比之下，Azure Web 應(yīng)用程序防火墻由 Microsoft 安全專家團(tuán)隊(duì)進(jìn)行維護(hù)和更新。

Web 應(yīng)用開(kāi)發(fā)人員具有其他優(yōu)先級(jí)

貴公司部署 Web 應(yīng)用的唯一目的不太可能是為了阻止 SQL 注入和遠(yuǎn)程命令執(zhí)行等攻擊。 更有可能的是在其 Web 應(yīng)用上還有其他用途。 這樣做的目的可能是銷售產(chǎn)品、提供服務(wù)或推廣業(yè)務(wù)。

很可能你更希望 Web 開(kāi)發(fā)團(tuán)隊(duì)專注于實(shí)現(xiàn)這些目的，而不是編寫(xiě)可靠的應(yīng)用安全代碼。 使用 Azure Web 應(yīng)用程序防火墻，可以讓 Microsoft 管理安全性，同時(shí)讓團(tuán)隊(duì)專注于業(yè)務(wù)。

你的 Web 應(yīng)用開(kāi)發(fā)預(yù)算有限

針對(duì)所有 OWASP 漏洞進(jìn)行內(nèi)部編碼是一項(xiàng)昂貴的提議：

• 具備必要安全專業(yè)知識(shí)的 Web 開(kāi)發(fā)人員相對(duì)罕見(jiàn)。 與缺乏此類專業(yè)知識(shí)的同事相比，這些開(kāi)發(fā)人員通常薪水更高。

• 針對(duì)各種 Web 應(yīng)用漏洞進(jìn)行編碼并不是一次性的提議。 隨著新的或修改過(guò)的漏洞被發(fā)現(xiàn)，你的團(tuán)隊(duì)必須不斷維護(hù)和更新其安全代碼。 你的安全專家必須成為 Web 開(kāi)發(fā)團(tuán)隊(duì)的永久成員，并成為預(yù)算中的永久行項(xiàng)目。

Azure Web 應(yīng)用程序防火墻不是免費(fèi)的。 不過(guò)，你可能會(huì)發(fā)現(xiàn)，這種解決方案比雇傭全職 Web 安全專家團(tuán)隊(duì)更具經(jīng)濟(jì)效益。

你的 Web 應(yīng)用開(kāi)發(fā)時(shí)間有限

許多 Web 開(kāi)發(fā)團(tuán)隊(duì)針對(duì)所有的 OWASP 漏洞進(jìn)行內(nèi)部編碼。 然而，大多數(shù)團(tuán)隊(duì)很快就意識(shí)到創(chuàng)建和維護(hù)這些代碼既費(fèi)力又耗時(shí)。 如果你想在一個(gè)緊迫的截止日期前發(fā)布一個(gè)新的 Web 應(yīng)用，則保護(hù)應(yīng)用程序免受所有 OWASP 攻擊所需的數(shù)千小時(shí)人力是一個(gè)主要的障礙，

可以在幾分鐘內(nèi)使用 Azure Web 應(yīng)用程序防火墻配置 Azure 應(yīng)用程序網(wǎng)關(guān)實(shí)例或 Azure Front Door 配置文件。

必須快速生成和部署 Web 應(yīng)用

許多 Web 應(yīng)用不需要完全的開(kāi)發(fā)處理。 例如，請(qǐng)考慮以下兩種應(yīng)用類型：

• 概念證明。 該應(yīng)用只是為了證明某些技術(shù)、建議或設(shè)計(jì)是可行的。

• 最小可行產(chǎn)品 (MVP)。 該應(yīng)用包含的功能足夠供早期采用者使用，他們?yōu)閷?lái)的版本提供反饋。

概念證明和 MVP Web 應(yīng)用都需要快速創(chuàng)建和部署。 在這些情況下，手動(dòng)編碼來(lái)對(duì)付常見(jiàn)攻擊是沒(méi)有意義的。 你仍希望保護(hù)這些應(yīng)用免受攻擊者的攻擊，因此可以將它們置于 Web 應(yīng)用程序防火墻之后。

Web 應(yīng)用發(fā)布將非常引人注目

你的營(yíng)銷團(tuán)隊(duì)是否大力推廣即將發(fā)布的 Web 應(yīng)用？ 他們是否在多個(gè)社交媒體平臺(tái)上發(fā)布消息，以在該應(yīng)用發(fā)布前激起人們的興趣？ 這很好，但你是否知道還有誰(shuí)對(duì)你的應(yīng)用版本感興趣？ 惡意用戶可能決定通過(guò)對(duì)應(yīng)用發(fā)起一些常見(jiàn)攻擊來(lái)中斷應(yīng)用發(fā)布。

為了避免中斷，可以使用 Azure Web 應(yīng)用程序防火墻來(lái)保護(hù) Web 應(yīng)用。